BSI veröffentlicht Sicherheitstudien zu Webservern

In zwei rund 150 Seiten starken Dokumenten des Bundesamtes für Sicherheit in der Informationstechnik finden sich ausführliche Beschreibungen über Architektur und Einsatzgebiete der im Internet am häufigst eingesetzten Webserver Apache und Microsoft Internet Information Server (IIS). Sie können online kostenlos bezogen werden.

Die Apache-Studie erläutert Aufbau und Unterschiede der Versionen 1.3 und 2.0 sowohl für Unix-Plattformen als auch für Windows NT. Die Installation und Konfiguration wird ebenso erklärt wie die Erweiterungsmöglichkeiten über externe Module. Der Leitfaden widmet sich insbesondere den Aspekten der IT-Sicherheit, unter anderem dem Einrichten von sicheren CGI-Schnittstellen, Authentisierungsfunktionen, der Konfiguration von SSL und dem Absichern des Servers selbst. Zu Fragen des täglichen Betriebes enthält das Dokument Hinweise zum Erstellen, Auswerten und Archivierung von Protokoll-Dateien und zum Auffinden von Sicherheitslücken.

Die Studie zum IIS beschreibt den Aufbau der Versionen 4.0 und 5.0 und alle notwendigen Schritte zur Installation und Konfiguration. Auch hier liegt der Fokus auf der IT-Sicherheit. Neben verschiedenen Angriffsarten und deren Abwehr beschreibt sie, wie der IIS abgesichert wird. Insgesamt beschäftigt sich das Dokument aber mehr mit der Sicherung der Betriebssystemplattform, also Windows NT 4.0 oder Windows 2000 und weniger mit dem Webserver. Die tief in die Betriebsystemfunktionen eingreifende Arbeitsweise des IIS macht dies notwendig.

Die für beide Studien zusammengefasste Management Summary hebt hervor, dass die Installation des Apache-Webservers aus den Quelltexten bereits zu einer sicheren Grundkonfiguration führt, während der Microsofts IIS in jedem Fall noch manuelle Konfigurationsarbeit notwendig macht. Die Installation des Apache mittels Paketmanager beeinflusst dessen Sicherheit in der Regel nicht. (dab)